امروزه استفاده از شبکه بی‌سیم به خاطر نصب و راه اندازی، و دسترسی آسان در محیط های کوچک مانند اماکن تجاری، کتابخانه ها و … به سرعت رو به افزایش است. خصوصیت رادیویی این ابزار باعث می‌شود امکان دسترسی به اطلاعاتی که در حالت فعال بودن بی‌سیم ارسال و دریافت می‌گردند، نسبت به شبکه کابلی، بیشتر گردد. لذا پیکربندی مناسب و بکارگیری روشهایی که در حفظ امنیت شبکه بی‌سیم موثر باشند بسیار ضروری است. این مقاله‌ای به امنیت این نوع شبکه و روشهای ایجاد و نگهداری محیط امن برای استفاده از آن می‌پردازد.

● امنیت شبکه[۱]

ممکن است راه اندازی یک شبکه بی‌سیم[۲] راحت و مفید باشد، اما باید مراقب امنیت شبکه باشید و از پهنای باند، سیستم و فایل‌هایتان حفاظت کنید. این متن شامل پیشنهاداتی در خصوص اینکه چگونه شبکه شما در برابر دسترسی خارجی بسته باشد و تغییرات بدون مجوز بوسیله عوامل خارجی را کاهش دهد، می‌باشد.

هدف از امنیت شبکه خانگی، مشکل ساختن شناسایی، دسترسی و استفاده از منابع شبکه شما می‌باشد. بوسیله بکارگیری چندین لایه حفاظتی، می‌توانید مانع بسیاری از حملات معمول شوید. در ادامه به شما کمک خواهد شد که آسیب پذیری سیستم‌تان را کم کنید و یک امنیت اولیه در برابر نفوذگران[۳] غیر حرفه‌ای برای شبکه خانگی خود مهیا نمایید، البته این راهنمایی‌ها نمی‌تواند مانع سارقان حرفه‌ای اطلاعات شود.

● حداقل شرایط نگهداری از یک سرویس گیرنده[۴] کابلی

توجه کنید که هر وقت شما گزینه‌های امنیتی را تغییر می‌دهید، ممکن است بطور اتفاقی سیستم بی‌سیم خود را قفل کنید. به همین خاطر آشنایی قبلی با چگونگی تنظیمات امنیتی و نگهداری یک سیستم با ارتباط کابلی توصیه می‌شود. بیشتر نقاط دسترسی[۵]‌ به یک سیستم کابلی برای پیکربندی اولیه نیاز دارند. اگر سیستم‌تان قفل شد، باید دستگاه را دوباره راه‌اندازی نمایید تا کلیه اطلاعات پاک و مجدداً پیکربندی شود.

● تنظیمات خود را یادداشت کنید

تمام تغییراتی را که به عنوان پیش فرض در تنظیمات نقطه دسترسی ‌‌ایجاد می‌کنید شامل: کلمه عبور، SSIDا[۶] (نام شبکه)، کلید رمزگذاری WEP[ا۷]، کلیه فیلترها و تنظیمات MAC[۸]i و … یادداشت نمائید. در صورت بارگذاری مجدد بصورت فیزیکی و یا به‌روزرسانی، شما قادر خواهید بود دوباره‌ بدون اینکه مجبور باشید دوباره تنظیم کنید برای هر سرویس گیرنده با تنظیمات جدید، شبکه را ایجاد کنید. کلمات یادداشت نموده را در جایی مطمئن نگهداری نمائید.

● از نرم افزار دائمی‌ فعلی[۹] نگهداری کنید

سازندگان نرم افزارها اغلب نسخه‌های ارتقاء آنرا پیوسته ارائه می‌دهند، برنامه‌های کوچکی که بطور ثابت در داخل دستگاه ذخیره می‌شوند. شما می توانید پایگاه اینترنتی این محصولات یا شرکت‌های حامی‌ را برای در دسترس بودن نسخه‌های قبلی بررسی کنید. از نتایج خوب نگهداری از یک سرویس گیرنده کابلی آنست که معمولاً نسخه‌های جدیدتر، حاوی اطلاعات بروز شده ابزارهای امنیتی و یکسری امکانات اضافی می باشد و شما می‌توانید آن را روی نقطه دسترسی‌تان برای استفادۀ مؤثر سرویس گیرنده‌ها، نصب نمائید.

● دستیابی به نقطه دسترسی‌تان را امن کنید

بیشتر نقاط دسترسی‌ از قبل تنظیم شده و با کلمه عبور پیش فرض یا بدون آن به بازار می آیند. مسیریاب[۱۰]‌ها همیشه با یک نام کاربری و کلمه عبور پیش فرض فرستاده می‌شوند که در دنیای کامپیوتر شناخته شده هستند. اولین وظیفه شما این است که به نقطه دسترسی‌ وصل شوید و کلمه عبور مدیر را تغییر دهید.

همچنین از غیر فعال بودن هرگونه کنترل از راه دور بوسیله نقطه دسترسی‌تان مطمئن شوید. اینکار از دسترسی به صفحه تنظیمات شبکه شما از طریق افراد خارج از محدوده جلوگیری می‌کند.

انتشار[۱۱] SSIDرا غیر فعال کنید

نقاط دسترسی بصورت پیش فرض, یک موج رادیویی ردیابی[۱۲] را منتشر می‌نمایند. سرویس گیرنده بی‌سیم وجود نقاط دسترسی را بوسیله آن موج شناسایی می‌نماید. با این سیگنال که شناسه امنیتی دستگاه (SSID) نامیده می‌شود، اسم شبکه مشخص می‌گردد و اساساً کارتهای شبکه بی‌سیم در داخل محدوده را برای پیوستن به شبکه فرا می‌خواند. از آنجایی که محدوده یک نقطه دسترسی اغلب از حدود منزلتان بیشتر است، یک فرد عبوری یا همسایه می‌تواند در محدوده ارتباط شما قرار گیرد. هر چند، اگر شخصی بداند و یا بتواند نام شبکه شما را حدس بزند و همزمان انتشار SSID غیر فعال باشد، عملاً شبکه بی‌سیم‌تان غیر قابل مشاهده خواهد بود.

وقتی شما مشخصه انتشار را غیر فعال می‌کنید، لازم است هر یک از سرویس های گیرنده بی‌سیم را با نام شبکه مورد نظر به صورت دستی تنظیم نمایید. نامی برای SSID تان انتخاب کنید که خیلی بدیهی نباشد.

● استفاده از رمزگذاری WEP

با وجود اینکه نفوذگران مصمم، می‌توانند در WEPنفوذ نمایند، استفاده از WEP می‌تواند مانع از جداکردن داده‌های بی‌سیم شناور اطراف شبکه‌تان توسط بسته‌های نظارت و ردگیری[۱۳]شود (یکی از قدیمی ترین روش‌های سرقت اطلاعات در یک شبکه، استفاده از فرآیندی موسوم به “ردگیری بسته ها در شبکه”[۱۴] است. در این روش مهاجمان از تکنیک‌‌هائی به منظور تکثیر بسته‌های اطلاعاتی که در طول شبکه حرکت می‌کنند، استفاده نموده و در ادامه با آنالیز آنها از وجود اطلاعات حساس در یک شبکه آگاهی می‌یابند. امروزه پروتکل‌هائی نظیر IPSec به منظور پیشگیری از “ردگیری بسته ها در شبکه” طراحی شده است که با استفاده از آن بسته‌های اطلاعاتی رمزنگاری می‌گردند. در حال حاضر تعداد بسیار زیادی از شبکه‌ها از تکنولوژی IPSec استفاده نمی‌نمایند و یا صرفاً بخش اندکی از داده‌های مربوطه را رمزنگاری می‌نمایند و همین امر باعث شده است که “ردگیری بسته ها در شبکه”همچنان یکی از روش‌های متداول به منظور سرقت اطلاعات باشد. یک “ردگیر بسته ها در شبکه” که در برخی موارد از آن به عنوان دیده‌بان شبکه و یا تحلیلگر شبکه نیز یاد می‌شود، می‌تواند توسط مدیران شبکه به منظور مشاهده و اشکال زدائی ترافیک موجود بر روی شبکه استفاده گردد تا به کمک آن بسته های اطلاعاتی خطاگونه و گلوگاه‌های حساس شبکه شناسائی و زمینه لازم به منظور انتقال موثر داده‌ها فراهم گردد. به عبارت ساده‌تر، یک “ردگیر بسته ها در شبکه” تمامی بسته‌های اطلاعاتی که از طریق یک اینترفیس مشخص شده در شبکه ارسال می‌گردند را تا موقعی که امکان بررسی و آنالیز آنان فراهم گردد جمع‌آوری می‌نماید. عموماً از برنامه های “ردگیر بسته ها در شبکه” به منظور جمع آوری بسته های اطلاعاتی به مقصد یک دستگاه خاص استفاده می‌گردد. برنامه های فوق قادر به جمع آوری تمامی بسته‌های اطلاعاتی قابل حرکت در شبکه، صرف نظر از مقصد مربوطه نیز می‌باشند. یک مهاجم با استقرار یک “ردگیر بسته ها در شبکه” در شبکه، قادر به جمع‌آوری و آنالیز تمامی ترافیک شبکه خواهد بود. اطلاعات مربوط به نام و رمز عبور عموماً به صورت متن معمولی و رمز نشده ارسال می‌گردد و این بدان معنی است که با آنالیز بسته‌های اطلاعاتی، امکان مشاهده اینگونه اطلاعات حساس وجود خواهد داشت. یک “ردگیر بسته ها در شبکه” صرفاً قادر به جمع آوری اطلاعات مربوط به بسته های اطلاعاتی درون یک subnet مشخص شده است. بنابراین، یک مهاجم نمی‌تواند یک “ردگیر بسته ها در شبکه” را در شبکه خود نصب نماید و از آن طریق به شبکه شما دستیابی و اقدام به جمع آوری نام و رمز عبور به منظور سوء استفاده از سایر ماشین‌های موجود در شبکه نماید. مهاجمان به منظور نیل به اهداف مخرب خود می‌بایست یک “ردگیر بسته ها در شبکه” را بر روی یک کامپیوتر موجود در شبکه اجراء نمایند). در بیشتر نقاط دسترسی, پیشنهاد می‌کنند حداقل اندازه کلید برای رمزگذاری ۶۴ بیت باشد و بعضی دیگر حتی پیشنهاد ۱۲۸ بیتی برای رمزگذاری را داده اند. مدلWEP بسته‌های داده های مورد استفاده را بصورت الگوریتم‌های مبهم و مبتنی بر یک کلید الکترونیکی تبدیل نموده و آنرا بصورت یک سری از الفبای عددی یا کاراکترهای شانزده شانزدهی (هگزا دسیمال) پنهان می‌نماید. سیستم دریافت باید یک کلید نظیر آن را به منظور کشف رمز بسته داده داشته باشد.

بر روی نقطه دسترسی، گزینه‌ای را که اتصال WEP را فعال ‌نموده و یا نیاز دارد، جستجو کنید. کلیدی را روی نقطه دسترسی تعریف نموده و همان کلید را در پیکربندی بی‌سیم هر سرویس گیرنده وارد کنید.

تنظیم دسترسی بوسیله نشانی فیزیکی کارت شبکه (MAC)

هر کارت شبکه یک نشانی MAC دارد که به صورت یکتا تعریف شده و روی شبکه مشخص می‌گردد. بیشتر نقاط دسترسی به شما اجازه می‌دهند که MAC آدرس‌هایی که می‌توانند به شبکه دسترسی داشته باشند را محدود نمائید. استفاده از فیلتر MAC به اضافه WEP دسترسی به شبکه شما را بسیار مشکل می‌سازند.

● کنترل دسترسی بوسیله نشانی دامنه (IP)اا[۱۵]

اگر شما سرویس‌هایDHCP (Dynamic Host Configuration Protocol) را به منظور دریافت خودکار IP ،(Domain Name System) DNS‌ و ورودی اطلاعات (Gateway) برای سرویس گیرنده‌ها فعال کرده‌اید و می‌خواهید که این خصیصه به وسیله نقطه دسترسی‌تان پشتیبانی شود، دسترسی بر مبنای نشانی IP را محدود کنید، برای این منظور باید تعداد سرویس گیرنده‌های همزمان از DHCP را مشخص نمائید. ضمن آنکه می‌توانید دوره اجاره را که برای هر نشانی DHCP منتشر می‌شود، تمدید کنید. (هر سرویس گیرنده DHCP نشانی را برای یک مدت زمان اجاره می‌کند سپس آن را آزاد می‌نماید.) راه دیگر اینکه، به جای تکیه بر DHCP، می‌توانید به صورت دستی هر سرویس گیرنده را با نشانی IP دائمی‌ پیکربندی کرده، اجازه دسترسی را تنها برای آن نشانیهای مخصوص, صادر نمایید.
مرتب کلمه عبور و SSID‌ را تغییر دهید.

در ادامه گمراه کردن نفوذگرها، SSID و کلیدهای WEP خود را هر چند ماه یکبار تغییر دهید.

برد نقطه دسترسی‌تان را حداقل کنید.

سعی کنید نقطه دسترسی را در مرکز مکانی که برد آن به اندازه‌ای باشد که به کاربران خدمات بدهد و یا حداکثر تا محوطه اطراف محل مورد نظر را پوشش دهد، قرار دهید، این عمل باعث کاهش پوشش در خارج از محدوده مالکیت شما می‌گردد. بهترین نقطه‌ای که می‌توان در نظر گرفت نزدیک به مرکز مکان خصوصی شما و نزدیک سطح زمین می‌باشد (اما نباید مستقیماً بالا یا زیر سرویس گیرنده بی‌سیم‌تان باشد).

● یک DMZا [۱۶] یا شبکه چندگانه نصب کنید

در صورتی که شبکه خصوصی شما قسمت بندی شده است، سه بخش ابتدایی از یک نشانی IP، خود شبکه و بوسیله آخرین قسمت, سیستم‌هایی را که به شبکه متصل هستند مشخص می‌گردد. اگر شما همزمان شبکه کابلی و بی‌سیم استفاده می نمایید، می‌توانید یک قلمرو غیر جنگی (DMZ) (یکی از اصول امنیت، استفاده از الگوی دفاع لایه به لایه است. مثل استفاده از برج، دیوار‌های بلند، دروازه ‌های اصلی و فرعی، خندق و … در قلعه ‌های قدیمی کل شبکه (Internetwork) را می‌توان به دو بخش قابل اعتماد (Trusted) و غیرقابل اعتماد (Untrusted) تقسیم بندی کرد. شبکه داخلی را می‌توان شبکه قابل اعتماد و شبکه عمومی اینترنت را شبکه غیرقابل اعتماد دانست. در شبکه ‌های کامپیوتری، محلی را به نام DMZ (Demilitarized Zone) تعریف می‌کنیم. در واقع DMZ ناحیه‌ای بین شبکه داخلی شما (Trusted) و شبکه عمومی (Untrusted) است. سرور‌هایی را که باید از اینترنت قابل دسترسی باشند (مانند WebServer، Mail Server،FTP Server وDNS Server )
را در DMZ قرار می‌دهیم. این سیاست مطابق الگوی دفاع لایه به لایه است. به این ترتیب می‌توانیم راه برقراری ارتباط از اینترنت به داخل شبکه را به طور کامل مسدود کنیم. برای ایجاد لایه‌‌های بیشتر می‌توان بیش از یکDMZ در شبکه ایجاد کرد. تعداد Device‌های امنیت شبکه به تعداد DMZها و موارد دیگری بستگی دارد و با توجه به ساختار شبکه‌ی هر سازمان، میزان حساسیت و برخی پارامتر‌های دیگر که در سیستم عامل تعیین می‌شود. پیکربندی مناسب ناحیه DMZ به دو عامل متفاوت بستگی خواهد داشت: وجود یک مسیریاب خارجی و داشتن چندین نشانی IP ) را‌ ایجاد کنید که مانند یک زیر شبکه روی شبکه اولیه بوجود می‌آید، یا می‌توانید آدرس‌های شبکه مختلفی برای هر شبکه طراحی کنید.

● مانند یک نفوذگر عمل کنید

ابزارهای زیادی در دسترس هستند که می‌توانند امنیت شبکه‌تان را بیازمایند. برای مثال، NetStumbler و چندین ابزار مجانی در دسترس که در نشانیAbout.com&#۰۳۹;s Internet/Network Security page می‌توانید بیابید. آنها می‌توانند به یافتن نقاط قابل نفوذ در شبکه‌تان کمک کنند و حتی ممکن است راههایی را برای بستن سوراخ‌های امنیتی پیشنهاد کنند.

● همیشه مراقب باشید

مفاهیم امنیت شبکه یک فرایند در حال پیشرفت می‌باشد. هر محصول و ابزار جدیدی که به بازار می‌آید، بالقوه آسیب پذیر و قابل رخنه می‌باشند. البته، تکنولوژی‌های جدید برای کمک به بهبود امنیت روی شبکه‌های بی‌سیم گسترش می‌یابند. دسترسی حفاظت شده Wi-Fi (WPA[۱۷])، برای مثال، امنیت را بالا خواهد برد و تنظیمات را آسان خواهد نمود. یک پروتکل جدید امنیت شبکه بی‌سیم، به نام IEEE ۸۰۲.۱۱i[۱۸]، همچنین به تقویت امنیت بی‌سیم کمک خواهد نمود.

بهترین روش برای برقراری امنیت شبکه بی‌سیم، دنبال کردن مراحلی است که در بالا لیست شد، همچنین قدم برداشتن با پیشرفت تکنولوژی، نرم‌افزار دائمی و راه حل‌هایی که دسترس باشند، پیشنهاد می‌شود.

● نتیجه گیری

راه اندازی شبکه بی‌سیم، تنها در مواردی توصیه می‌شود که امکان کابل‌کشی نبوده و باعث بهم خوردن زیبایی مکان مورد نظر شود و یا لزوم جابجایی رایانه‌ها، استفاده از شبکه بی‌سیم را ضروری نماید. غیر از مواردی از قبیل شبکه بی‌سیم هرگز بر شبکه کابلی برتری نخواهد داشت و در محیط‌های بزرگ می‌تواند به عنوان شبکه کمکی در کنار یک شبکه کابلی استفاده گردد.

مترجم: مریم صادقیان

کارشناس خدمات کامپیوتری دانشکده علوم ریاضی. دانشگاه صنعتی شریف